«Известия» узнали о возможной дисквалификации за утечки данных для зампредов банков

Специальные требования к квалификации и деловой репутации заместителей председателей финансовых организаций, ответственных за информационную безопасность, планируется ввести в России. Законопроект, подготовленный при участии ЦБ, касается банков, страховых компаний, пенсионных фондов и МФО, пишут «Известия» со ссылкой на документ, оказавшийся в распоряжении газеты. Он в том числе предполагает, что топ-менеджеры, отвечающие за информбезопасность, могут быть на 10 лет лишены права занимать такие должности. 

Законопроект проходит процедуру межведомственного согласования, сказали газете в ЦБ. В регуляторе добавили, что документ предусматривает повышение уровня персональной ответственности замглавы финансовой организации по информбезопасности за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны. Он вводит десятилетний срок, в течение которого зампреду по информбезопасности запрещается занимать эту должность, если он работал в финансовой организации на таком посту в период, когда там допускались нарушения требований к защите информации, а к самой компании применялись меры ответственности за такие нарушения. 

В отзыве на законопроект Национального совета финансового рынка (НСФР) говорится, что фактически это требование вводит десятилетний запрет на занятие должности заместителя по информбезопасности за сам факт наступления определенных событий. Из редакции законопроекта следует, что связь непосредственно деятельности человека и его дисквалификации может вообще отсутствовать, говорит глава НСФР Андрей Емелин. Например, если базу данных слил подчиненный-инсайдер, то его руководителя автоматически дисквалифицируют на 10 лет, даже если он никак не причастен к происшествию, отметил он.

В отзыве НСФР указывается, что в уголовном и административном законодательстве для лиц, признанных виновными в совершении должностных преступлений, сроки наказаний в виде запрета занимать определенные должности «существенно меньше, чем 10 лет».  По словам Емелина, в УК лишение права занимать определенные должности или заниматься какой-то деятельностью устанавливается на срок от одного года до пяти лет, по КоАП, который регулирует в том числе сами нарушения в финансовой деятельности, — от полугода до трех лет. 

По оценке НСФР, запрет занимать должность замруководителя по информбезопасности на 10 лет несоразмерен, несправедлив и объективно избыточен. Также мера ухудшит ситуацию с нехваткой профильных специалистов, а человек, который не сможет долгое время работать по специальности, рискует утратить необходимые навыки. НСФР в своем отзыве предлагает снизить этот срок до трех лет. Емелин напомнил, что несколько лет назад аналогичные требования к дисквалификации предлагалось ввести для специалистов по противодействию отмыванию денег и финансированию терроризма (ПОД/ФТ). Тогда банки раскритиковали эту идею и от нее отказались, подытожил собеседник газеты. 

«Это действенная мера в силу специфики должности. Лицу, занимавшему руководящую позицию, после привлечения к ответственности маловероятно быстро найти сопоставимую занятость и из-за испорченной деловой репутации, и по юридическим причинам», — полагает старший партнер коллегии адвокатов Pen & Paper Валерий Зинченко. По его словам, законодательные инициативы ЦБ в области персональной ответственности топ-менеджеров укладываются в понимание природы и цели такого наказания, добавил юрист. 

В 2023 году было более 290 утечек, в результате злоумышленники получили доступ к 240 млн уникальных телефонных номеров и 123 млн e-mail-адресов российских пользователей, а по объему слитых данных первой стала банковская отрасль (47% утекших телефонных номеров) и электронная коммерция (38% утекших e-mail-адресов), отмечалось в исследовании DLBI, на которое ссылается газета. «Сейчас ситуация с утечками в банковской отрасли не то чтобы прекрасная, но она выглядит лучше на фоне общей удручающей ситуации», — сказал основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.